Die für das Einrichten oder Aktualisieren der Zertifikatinfrastruktur erforderliche Arbeit ist abhängig von den Anforderungen in Ihrer Umgebung. Dabei müssen Sie berücksichtigen, ob es sich um eine Neuinstallation oder ein Upgrade handelt und ob Sie ESXi oder vCenter Server verwenden möchten.

Administratoren, die VMware-Zertifikate nicht ersetzen

VMCA kann die gesamte Zertifikatsverwaltung durchführen. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die VMCA als Root-Zertifizierungsstelle verwenden. Wenn Sie ein Upgrade auf vSphere 6 von einer früheren Version von vSphere durchführen, werden alle selbstsignierten Zertifikate durch Zertifikate ersetzt, die durch VMCA signiert wurden.

Wenn Sie derzeit keine VMware-Zertifikate ersetzen, verwendet Ihre Umgebung VMCA-signierte Zertifikate anstatt selbstsignerte Zertifikate.

Administratoren, die VMware-Zertifikate durch benutzerdefinierte Zertifikate ersetzen

Wenn Ihre Firmenrichtlinie Zertifikate erfordert, die von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signiert wurden oder für die benutzerdefinierte Zertifikatsinformationen erforderlich sind, stehen Ihnen zahlreiche Optionen für eine Neuinstallation zur Verfügung.

  • Lassen Sie das VMCA-Root-Zertifikat von einer Drittanbieter- oder Unternehmenszertifizierungsstelle signieren. Ersetzen Sie das VMCA-Root-Zertifikat durch dieses signierte Zertifikat. In diesem Szenario handelt es sich beim VMCA-Zertifikat um ein Zwischenzertifikat. VMCA stellt vCenter Server-Komponenten und ESXi-Hosts Zertifikate bereit, die die vollständige Zertifikatskette beinhalten.
  • Wenn Ihre Unternehmensrichtlinie keine Zwischenzertifikate in der Zertifikatskette zulässt, müssen Sie Zertifikate explizit ersetzen. Sie können den vSphere Client oder das Dienstprogramm vSphere Certificate Manager verwenden oder Zertifikate mithilfe der Zertifikatsverwaltungs-CLIs manuell ersetzen.

Beim Upgrade einer Umgebung, die benutzerdefinierte Zertifikate verwendet, können Sie einige Zertifikate beibehalten.

  • ESXi-Hosts behalten ihre benutzerdefinierten Zertifikate während des Upgrades bei. Stellen Sie sicher, dass beim Upgrade von vCenter Server alle relevanten Root-Zertifikate zum TRUSTED_ROOTS-Speicher in VECS unter vCenter Server hinzugefügt werden.

    Nach dem Upgrade auf vSphere 6.0 oder höher können Sie den Zertifikatmodus auf Benutzerdefiniert festlegen. Wenn der Zertifikatsmodus „VMCA“ lautet (Standardwert) und der Benutzer über den vSphere Client ein Zertifikat aktualisiert, werden die benutzerdefinierten Zertifikate durch VMCA-signierte Zertifikate ersetzt.

  • Die vorhandene Umgebung bestimmt, was bei vCenter Server-Komponenten passiert.
    • Bei einem Upgrade einer einfachen Installation auf einer eingebetteten Bereitstellung behält vCenter Server benutzerdefinierte Zertifikate bei. Die Funktionsweise der Umgebung ist nach dem Upgrade unverändert.
    • Bei einem Upgrade einer siteübergreifenden Bereitstellung kann sich vCenter Single Sign On auf einer anderen Maschine als andere vCenter ServerKomponenten befinden. In diesem Fall erstellt der Upgrade-Prozess eine Bereitstellung mit mehreren Knoten, die einen Platform Services Controller-Knoten und einen oder mehrere Verwaltungsknoten enthält.

      Bei diesem Szenario werden die bestehenden vCenter Server- und vCenter Single Sign On-Zertifikate beibehalten. Die Zertifikate dienen als Maschinen-SSL-Zertifikate.

      Darüber hinaus weist VMCA jedem Lösungsbenutzer ein VMCA-signiertes Zertifikat zu (Sammlung von vCenter-Diensten). Der Lösungsbenutzer verwendet dieses Zertifikat nur für die Authentifizierung bei vCenter Single Sign On. Häufig erfordern es die Unternehmensrichtlinien nicht, dass Lösungsbenutzerzertifikate ersetzt werden.

    Das Zertifikatersetzungs-Tool aus vSphere 5.5, das für vSphere 5.5-Installationen verfügbar war, kann nicht mehr verwendet werden, da die Dienste in der neuen Architektur anders verteilt und platziert werden. Ein neues Befehlszeilendienstprogramm, vSphere Certificate Manager, ist für die meisten Zertifikatsverwaltungsaufgaben verfügbar.

vSphere-Zertifikatschnittstellen

Für vCenter Server können Sie Zertifikate mit den folgenden Tools und Schnittstellen anzeigen und ersetzen.
Tabelle 1. Schnittstellen für die Verwaltung von vCenter Server-Zertifikaten
Schnittstelle Verwenden
vSphere Client Führen Sie gängige Zertifikataufgaben mit einer grafischen Benutzeroberfläche durch.
vSphere Certificate Manager-Dienstprogramm Führen Sie gängige Zertifikatersetzungsaufgaben über die Befehlszeile der vCenter Server-Installation durch.
Zertifikatsverwaltungs-CLIs Führen Sie alle Zertifikatsverwaltungsaufgaben mit dir-cli, certool und vecs-cli aus.
vSphere Web Client Zeigen Sie Zertifikate einschließlich der Informationen zum Ablauf von Zertifikaten an.

Für ESXi führen Sie die Zertifikatsverwaltung über den vSphere Client aus. VMCA stellt Zertifikate bereit und speichert sie lokal auf dem ESXi-Host. VMCA speichert ESXi-Hostzertifikate nicht in VMDIR oder in VECS. Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Unterstützte vCenter-Zertifikate

Für vCenter Server, den Platform Services Controller und zugehörige Maschinen und Dienste werden die folgenden Zertifikate unterstützt:

  • Zertifikate, die von VMware Certificate Authority (VMCA) generiert und signiert werden.
  • Benutzerdefinierte Zertifikate.
    • Unternehmenszertifikate, die von Ihrer eigenen internen PKI generiert werden.
    • Von einer Zertifizierungsstelle eines Drittanbieters signierte Zertifikate, die von einer externen PKI wie etwa Verisign, GoDaddy usw. generiert werden.

Mithilfe von OpenSSL erstellte selbstsignierte Zertifikate, bei denen es keine Root-Zertifizierungsstelle gibt, werden nicht unterstützt.